Durch das Inkrafttreten der DSGVO soll der Umgang mit besonders sensiblen persönlichen Daten der Betroffenen – hier also der Patienten – gewahrt werden. Ärzte benötigen hierfür ein Datenschutzmanagement, um sicherzustellen und dokumentiert nachweisen zu können, dass sie den Datenschutz in Ihrer Arztpraxis entsprechend der DSGVO anwenden.

Was muss ich tun? Wo fange ich am besten an? Brauche ich überhaupt einen Datenschutzbeauftragten?

Der Datenschutzbeauftragte: Wer ist das? Was macht er? Wer braucht ihn?

Die Rolle des Datenschutzbeauftragten als zentrale Anlaufstelle für Betroffene, Verantwortliche, Auftragsverarbeiter und Aufsichtsbehörden ist durch die DSGVO gestärkt worden. Sie ist zugleich Ausdruck des in Art. 5 DSGVO verankerten datenschutzrechtlichen Transparenzgrundsatzes. Der Datenschutzbeauftragte in der Arztpraxis hat die Aufgabe, den verantwortlichen Arzt über die Pflichten im Umgang mit Daten nach den neusten Regeln zu informieren und ihn zu beraten. Zudem überprüft er, ob die Regelungen zum Datenschutz in der Arztpraxis bei den internen Datenschutzverarbeitungsvorgängen eingehalten werden.

Besteht das Praxisteam aus mehr als 20 Personen, sollte also ein Datenschutzbeauftragter darunter sein.

Bei der Ermittlung der Personenanzahl kommt es allein auf die tatsächliche Anzahl der tätigen Personen an. Die Art der Beschäftigung (z. B. Voll- oder Teilzeit, Auszubildende, Praktikanten, Leiharbeit) ist hierfür unerheblich. Vereinfacht gesagt sind„Köpfe“ zu zählen. Die Anzahl von mindestens 20 Beschäftigten, die auf Dauer personenbezogene Daten automatisiert verarbeiten, muss „in der Regel“ gegeben sein. Vorübergehende Änderungen (Überschreitungen oder Unterschreitungen) des Personalbestands sind daher unschädlich. Ausgenommen werden können deshalb Personen, die nur zufällig im Rahmen der Erledigung anderer Aufgaben mit der Verarbeitung personenbezogener Daten zu tun haben (z. B. Wartungstechniker; kurzfristiger Entlastungsassistent; Mitarbeiter eines externen Dentallabors). Die automatisierte Verarbeitung personenbezogener Daten muss aber nicht Hauptaufgabe der beschäftigten Person sein, um „ständig“ zur Personenanzahl hinzugezählt werden zu müssen. Auf den Anteil bzw. Umfang der Verarbeitung an der gesamten Arbeit kommt es nicht an. Mitarbeiter sollten daher auch berücksichtigt werden, die über einen PC- Arbeitsplatz oder PC-Zugang verfügen. Für eine „ständige“ Beschäftigung müssen die Mitarbeiter ihre Aufgaben auf unbestimmte bzw. längere Zeit ausüben, d. h. immer, wenn sie anfällt.

Die Benennung eines Datenschutzbeauftragten sollte unverzüglich erfolgen, sobald die Pflicht zur Benennung besteht. Als Datenschutzbeauftragter kommen Mitarbeiter der Praxis in Betracht, die besonders geschult sein müssen. Ebenso besteht die Möglichkeit, einen externen Dienstleister zu beauftragen. Bei der Beauftragung des externen Datenschutzbeauftragten fallen zusätzliche Kosten an, zugleich wird das Haftungsrisiko minimiert, denn bei Fehlern im Umgang mit dem Datenschutz haftet dieser. Auf jeden Fall muss der interne oder externe Datenschutzbeauftragte daher über die erforderliche Sachkunde verfügen.

Der Praxisinhaber selbst oder Gesellschafter in einer BAG kommt hierfür nicht in Betracht, da eine Selbstüberwachung in diesem Bereich nicht vorgesehen ist.

Überprüfung aller internen Verarbeitungsvorgänge, Anpassung Verträge/Formulare und Verarbeitungsverzeichnisse

Alle wesentlichen Verarbeitungsvorgänge (beispielsweise Lohn- und Gehaltsabrechnungen der Mitarbeiter, Verarbeitung der Patientendaten zur Behandlung, Verarbeitung der Patientendaten zur Abrechnung, Betrieb der Website mit der Online-Terminbuchungsmöglichkeit) sind auf die datenschutzrechtliche Konformität zu prüfen. Die bislang verwendeten Verträge und Formulare sind an die DSGVO anzupassen. Einwilligungserklärungen müssen zudem den Hinweis der Widerrufbarkeit enthalten.

Sinn und Zweck dieser Bestandsaufnahme soll sein, zu prüfen, welche Daten auf welcher Rechtsgrundlage verarbeitet werden. Alle Arztpraxen haben ein entsprechendes Verzeichnis für die Verarbeitungstätigkeiten zu führen (Art. 30 DSGVO). Beispielsweise in Bezug auf Patienten die gesundheitliche Behandlung, Diagnose und Therapie. Auf Verlangen der Aufsichtsbehörde ist dieses Verzeichnis vorzulegen. Es ist anzunehmen, dass die Anforderung des Verarbeitungsverzeichnisses ein Mittel sein wird, zu dem die Aufsichtsbehörden gerne greifen werden. Sollte dieses nicht innerhalb der gesetzten Frist vorgelegt werden können, muss mit weiteren Nachforschungen der Aufsichtsbehörde rechnen.

Sicherheit in der Datenverarbeitung

Die Sicherheitsrisiken in einer Praxis müssen grundsätzlich als hoch eingestuft werden, da mit den Gesundheitsdaten hochsensible und von Art. 9 DSGVO geschützte Daten erhoben werden. Hier gilt grundsätzlich Vorsicht ist besser als Nachsicht. Durch geeignete technisch-organisierte Maßnahmen (Erarbeitung einer internen Datenschutzrichtlinie durch klare Verantwortlichkeiten oder Zutritts-, Zugangs-, Zugriffsbeschränkungen für Mitarbeiter, Passworthygiene oder Verschlüsselungsmaßnahmen) ist die Sicherheit der Datenverarbeitung zu gewährleisten.

Die DSGVO formuliert u.a. auch die Erwartung, dass die Systeme wiederherstellbar sind, wenn es zur Störung kommt, Störanfälle automatisch gemeldet und die personenbezogenen Daten nicht beschädigt werden.

Informationspflichten gegenüber Patienten

Die Datenschutzgrundverordnung bringt weitreichende Informationspflichten mit sich. Wichtigste Verpflichtung ist nach Art. 13 DSGVO jedem Patienten bei der erstmaligen Datenerhebung eine Datenschutzerklärung zu übergeben. Die entsprechende Erklärung ist dem Patienten bei Erstaufnahme zu übergeben. Zu benennen sind dabei u.a. der Datenschutzbeauftragte, die Empfänger der Daten (KZV und private Abrechnungsstellen, der Hausarzt oder Fachärzte), die Speicherdauer (bei Zahnärzten grundsätzlich 10 Jahre) und die Aufsichtsbehörde sowie das Beschwerderecht.

Auskunftsrecht des Patienten

Gemäß Art. 15 DSGVO haben Patienten das Auskunftsrecht, wonach sie vom Arzt Auskunft über die zu ihrer Person ggf. gespeicherten Daten verlangen können. Hierfür sollte in einer internen Datenschutzrichtlinie ein bestimmtes Verfahren eingerichtet werden, um entsprechende Anfragen schnell beantworten zu können. Zu beachten ist, dass kein Anspruch des Patienten besteht, Auskunft über personenbedingte Danten anderer Dritter zu erhalten.

Recht auf Löschung

Auch das Thema Löschung von Patientendaten gehört zum Datenschutz in der Arztpraxis. Nach Art. 17 DSGVO sind Löschungsfristen zu berücksichtigen. Auch hier sollte intern ein bestimmtes Verfahren festgelegt werden (wann und durch wen).

Verhältnis zu externen Dienstleistern und Dritten

Soweit Verträge mit externen Dienstleistern, z.B. mit Privaten Verrechnungsstellen, bestehen oder abgeschlossen werden sollen, müssen diese Verträge auf ihre Vereinbarkeit mit den neuen datenschutzrechtlichen Vorschriften sowie mit den strafrechtlichen Bestimmungen zur ärztlichen Schweigepflicht überprüft werden. Der zwischen Praxisinhaber und allen Auftragsdatenverarbeitern zu schließende Vertrag hat bestimmte Mindestinhalte, die sich aus Art. 28 Abs. 3 DSGVO ergeben, im Detail aber ganz unterschiedlich sein können. Auch die Vorlage der nötigen ADV-Verträge gehört zu den denkbaren Abfragen der Aufsichtsbehörde, bei der Praxisinhaber künftig auf dem falschen Fuß erwischt werden könnten.

Mitarbeiterschulungen und praxiseigene Datenschutzrichtlinie

Damit jeder einzelne Mitarbeiter zum Datenschutz in der Arztpraxis auf den neusten Stand und it der Sicherheitstechnik vertraut ist, sollten regelmäßig Schulungen besucht und abgehalten werden. Zudem sollten die wichtigsten Regelungen transparent in einer praxiseigenen Datenschutzrichtlinie festgehalten werden. Es soll so sichergestellt werden, dass keine Fehler passieren, die auf den Praxisinhaber zurückzuführen sind, und er seiner Aufsichts- und Anleitungspflicht vollumfassend nachgekommen ist.

Was ist ein Datenschutzvorfall? Meldepflicht bei Verstößen!

Der Datenschutz in der Arztpraxis hat höchste Priorität. Trotzdem kann es zu einem Verlust des Praxis-Laptops, einem Hackerangriff oder einer unbewussten Veröffentlichung von personenbezogenen Daten im Internet kommen. Von einem Datenschutzvorfall spricht man, wenn die Sicherheit der personenbezogenen Daten, für die der Arzt verantwortlich ist, verletzt wird oder andere Unregelmäßigkeiten bei der Verarbeitung der Daten auftreten – also die Daten nicht mehr sicher sind. Dabei spielt es keine Rolle, ob die Verletzung der Sicherheit absichtlich oder unbeabsichtigt erfolgt ist.

Bei einem Datenschutzvorfall besteht eine Meldepflicht. Das bedeutet, dass der Praxisinhaber die Verletzung des Schutzes innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde – im Regelfall dem Landesdatenschutzbeauftragten – mitteilen muss.

Außerdem kann es sein, dass die Meldung der Verletzung des Schutzes personenbezogener Daten auch an den betroffenen Patienten weitergegeben werden muss.

Die Meldepflicht ist problematisch, sofern der Verantwortliche sich selbst belasten würde, einen Verstoß gegen die ärztliche Schweigepflicht begangen zu haben. Die Meldung ist dann zwar vorzunehmen. Es besteht aber ein prozessuales Verwertungsverbot und die Meldung kann in einem Strafverfahren oder Ordnungswidrigkeitenverfahren nur mit Zustimmung des Arztes verwendet werden.

Haftungsrisiken und Bußgelder

Sollten die Anforderungen an den Datenschutz in der Arztpraxis nicht erfüllt werden, so drohen dem Praxisinhaber erhebliche Haftungsrisiken und Bußgelder. Der Praxisinhaber haftet gegenüber den Patienten gem. Art. 82 Abs. 1, 2 DSGVO für den Schaden, der durch die rechtswidrige Verarbeitung personenbezogener Daten entstanden ist.

Die Verordnung sieht zudem Bußgelder für verschiedene Verstöße vor, die die Behörde verhängen kann. So kann, je nach Schwere und Folgen des Verstoßes, ein Bußgeld bis zur Höhe von 20. Mio. EUR drohen.